帳戶和權限需求
上次修改主題的時間: 2009-04-01
下列為 Office Communications Server 2007 R2 的安全性需求:
- 系統管理認證
- 安全性層級
- 媒體閘道安全性
系統管理認證
下表概要說明部署各種伺服器角色時的必要權限。
.gif "Dd425321.note(zh-tw,office.13).gif") 附註: |
|---|
| 根據預設,您需要 Domain Admins 群組的成員身分來部署或啟動已經加入 Active Directory 網域的伺服器。如果您不想將此層級的權限賦予要部署 Office Communications Server 的群組或使用者,則您可以透過安裝委派精靈,將完成此工作所需的權限子集賦予特定群組。 |
表 1 部署工作所需的系統管理認證
| 程序 | 需要的系統管理認證或角色 |
|---|---|
Standard Edition |
|
安裝必要軟體 |
RTCUniversalServerAdmins 群組 Domain Admins 群組 |
準備 Active Directory 網域服務 (AD DS) |
架構主機上的 Schema Admins 群組成員和 Administrator 權限 樹系根網域的 EnterpriseAdmins 群組成員 EnterpriseAdmins 或 DomainAdmins 群組成員 |
準備好 Windows 以進行安裝 |
Administrators 群組 |
建立並驗證 DNS 記錄 |
DNS Admins 群組 |
部署與啟動 Standard Edition Server 和應用程式 |
RTCUniversalServerAdmins 群組 Domain Admins 群組 |
設定 Standard Edition Server |
RTCUniversalServerAdmins 群組 |
設定 Office Communications Server 的憑證 |
Administrators 群組 RTCUniversalServerAdmins 群組 |
啟動服務 |
RTCUniversalServerAdmins 群組 |
驗證伺服器設定 |
RTCUniversalServerAdmins 群組 |
設定 A/V 和 Web 會議 (選擇性) |
RTCUniversalServerAdmins 群組 |
Enterprise Edition (合併的拓撲) |
|
安裝必要軟體 |
RTCUniversalServerAdmins 群組 Domain Admins 群組 |
準備 AD DS |
架構主機上的 Schema Admins 群組成員和 Administrator 權限 樹系根網域的 EnterpriseAdmins 群組成員 EnterpriseAdmins 或 DomainAdmins 群組成員 |
準備好 Windows 以進行安裝 |
Administrators 群組 |
安裝 SQL Server |
本機系統管理員 |
為 Office Communications Server 設定 SQL Server |
SQL Server 系統管理員 本機系統管理員 |
為集區設定負載平衡器 (選擇性) |
負載平衡器系統管理員 |
建立並驗證 DNS 記錄 |
DNS Admins 群組 |
建立集區 |
RTCUniversalServerAdmins 群組 Domain Admins 群組 |
設定集區和應用程式 |
RTCUniversalServerAdmins 群組 |
將伺服器新增到集區 |
Administrators 群組 RTCUniversalServerAdmins 群組 Domain Admins 群組 |
設定 Office Communications Server 的憑證 |
Administrators 群組 RTCUniversalServerAdmins 群組 |
啟動服務 |
RTCUniversalServerAdmins |
驗證伺服器和集區設定 |
RTCUniversalServerAdmins |
電話撥入式會議 |
|
安裝及啟動 Office Communications Server 2007 R2 |
Administrators 群組 RTCUniversalServerAdmins 群組 Domain Admins 群組 |
啟動會議服務員和會議宣告服務應用程式 |
RTCUniversalServerAdmins 群組 Domain Admins 群組 |
安裝、啟動和設定 2007 R2 版本的 Microsoft Office Communicator Web Access Server |
Administrators 群組 Domain Admins 群組 |
啟用 Communicator Web Access 的遠端使用者存取功能 (選擇性) |
Administrators 群組 Domain Admins 群組 |
測試電話撥入式會議網頁 |
Office Communications Server 2007 R2 使用者 |
建立一個或多個位置設定檔 |
RTCUniversalServerAdmins 群組 |
設定通用原則以支援電話撥入式會議 |
RTCUniversalServerAdmins 群組 |
部署中繼伺服器 |
RTCUniversalServerAdmins 群組 |
部署協力廠商的基本媒體閘道 或是 設定中繼伺服器以執行 SIP 主幹 |
RTCUniversalServerAdmins 群組 (用於設定中繼伺服器) SIP 主幹提供者的系統管理員 |
回應群組服務 |
|
安裝及啟動 Office Communications Server 2007 R2 |
Administrators 群組 RTCUniversalServerAdmins 群組 Domain Admins 群組 |
啟動回應群組服務應用程式 |
RTCUniversalServerAdmins 群組 Domain Admins 群組 |
為伺服器集區新增專員、建立專員群組,並建立佇列 |
RTCUniversalServerAdmins 群組 |
建立工作流程 |
RTCUniversalServerAdmins 群組 |
設定回應群組索引標籤 |
Domain Admins 群組 |
封存伺服器 |
|
安裝必要軟體 |
Administrators 群組和 Domain Admins 群組 (用於安裝已啟用 Active Directory 整合的 Message Queuing) |
安裝及啟動封存伺服器 |
Administrators 群組 Domain Admins 或 RTCUniversalServerAdmins 群組 |
設定封存伺服器關聯 |
Administrators 群組 |
設定要封存的使用者 |
RTCUniversalUserAdmins 群組 |
啟動封存服務 |
RTCUniversalUserAdmins 群組 |
監控伺服器 |
|
安裝必要軟體 |
Administrators 群組 Domain Admins 群組 (用於安裝已啟用 Active Directory 整合的 Message Queuing) |
安裝及啟動監控伺服器 |
Administrators 群組 Domain Admins 或 RTCUniversalServerAdmins 群組 |
啟動服務 |
Administrators 群組 |
部署監控伺服器報告 |
Administrators 群組 |
設定監控伺服器關聯 |
Administrators 群組 |
Communicator Web Access |
|
安裝及啟動 |
Domain Admins |
建立虛擬伺服器 |
Domain Admins 或 RTCUniversalServerAdmins 和本機系統管理員 |
發佈 Communicator Web Access URL |
Domain Admins 或 RTCUniversalServerAdmins 和本機系統管理員 |
管理 Communicator Web Access 設定 |
Domain Admins 或 RTCUniversalServerAdmins 和本機系統管理員 |
群組交談 |
|
建立 SQL Server 資料庫 |
資料庫系統管理員 |
設定群組交談帳戶和權限 |
Administrators 群組 |
取得群組交談的憑證 |
Administrators 群組 |
安裝群組交談 |
Administrators 群組 |
在 IIS 中設定網站設定 |
Administrators 群組 |
將群組交談系統管理工具連線至群組交談 |
Administrators 群組 通道服務系統管理員 |
設定群組交談使用者存取 |
Administrators 群組 |
部署封存和規範支援 |
資料庫系統管理員 Administrators 群組 |
系統管理工具 |
|
在未執行 Office Communications Server 的集中式管理主控台上安裝系統管理工具 |
Administrators 群組 Domain Admins 群組 |
設定使用者帳戶設定 |
RTCUniversalUserAdmins |
設定所有其他設定 (非使用者帳戶設定) |
RTCUniversalServerAdmins |
Edge Server |
|
設定 Edge Server 的基礎結構 |
Administrators 群組 |
設定 Edge Server |
Administrators 群組 Domain Admins 或 RTCUniversalServerAdmins 群組 |
設定環境 |
Administrators 群組 Domain Admins 或 RTCUniversalServerAdmins 群組 |
驗證邊緣設定 |
Administrators 群組 Domain Admins 或 RTCUniversalServerAdmins 群組 |
Communicator Mobile for Windows Mobile |
|
安裝先決條件 |
管理員 |
安裝 Communicator Mobile for Windows Mobile |
管理員 |
安裝自我簽署憑證 |
管理員 |
設定用戶端 |
管理員 |
測試 IM 和顯示狀態 |
管理員 |
Communicator Mobile for Java |
|
確認已符合先決條件和相依性。 |
管理員 |
部署 Communicator Mobile 元件 |
管理員 |
安裝 Communicator Mobile for Java 用戶端軟體 |
管理員 |
設定及使用用戶端 |
管理員 |
測試 IM 和顯示狀態 |
管理員 |
外部語音控制 |
|
安裝及啟動 Office Communications Server 2007 R2 |
Administrators 群組 RTCUniversalServerAdmins 群組 Domain Admins 群組 |
啟動外部語音控制應用程式 |
RTCUniversalServerAdmins 群組 Domain Admins 群組 |
啟動應用程式 |
RTCUniversalServerAdmins 群組 |
在支援的行動用戶端上測試外部語音撥號功能 |
Office Communications Server 2007 R2 使用者 |
Enterprise Voice (PBX 共存) |
|
部署 Office Communications Server,包括連線至 PBX 的中繼伺服器 |
|
部署 Office Communicator 2007 |
正在安裝 Office Communicator 之電腦上的系統管理員 |
啟用使用者的 IM 和顯示狀態 |
RTCUniversalUserAdmins 群組 |
針對 Enterprise Voice 設定 Communications Server |
RTCUniversalServerAdmins 群組 |
設定 PBX 將通話分支到 Office Communications Server |
RTCUniversalServerAdmins (從 AD DS 取得資訊將分機轉換為正確的電話 URI) |
部署媒體閘道 (如果有必要的話) |
媒體閘道是外部系統,具備自己的驗證及授權配置。如果媒體閘道需要建立受信任的服務項目,您至少必須是 RTCUniversalServerAdmins 群組的成員。 |
部署 RCC 閘道 (如果有必要的話) |
RCC 閘道是外部系統,具備自己的驗證及授權配置。您至少必須是 RTCUniversalServerAdmins 群組的成員,才能建立必要的受信任服務項目。 |
啟用使用者的 Enterprise Voice 和 PBX 整合 |
RTCUniversalUserAdmins 群組 |
Enterprise Voice 獨立式 (無 PBX 共存) |
|
部署 Office Communications Server |
|
部署 Office Communicator 2007 |
正在安裝 Office Communicator 之電腦上的系統管理員 |
針對 Enterprise Voice 設定 Office Communications Server |
RTCUniversalUserAdmins 群組 |
部署 Exchange Server 2007 Unified Messaging,並設定為與 Office Communications Server 整合 |
|
部署媒體閘道 |
媒體閘道是外部系統,具備自己的驗證及授權配置。如果媒體閘道需要建立受信任的服務項目,您至少必須是 RTCUniversalServerAdmins 群組的成員。 |
啟用使用者的 Enterprise Voice |
RTCUniversalUserAdmins 群組 |
裝置更新服務 |
|
部署 |
裝置更新服務會自動安裝在 Web 元件伺服器上。除了部署 Standard Edition 或 Enterprise Edition 時所需的權限外,不需要其他特定的部署權限。 |
安全性層級
部署 Office Communications Server 2007 R2 時所需的安全性層級,取決於組織打算部署的元件。
Exchange UM 安全性層級
Exchange Unified Messaging (UM) 撥號對應表支援三個不同的安全性層級:Unsecured、SIPSecured 和 Secured。您可以透過 UM 撥號對應表的 VoipSecurity 參數來設定安全性層級。下表根據相互 TLS (MTLS) 及/或安全即時傳輸通訊協定 (SRTP) 的啟用與否,顯示適當的撥號對應表安全性層級。
表 2. 各種相互 TLS 和 SRTP 組合的 VoipSecurity 值
| 安全性層級 | 相互 TLS | SRTP |
|---|---|---|
Unsecured |
已停用 |
已停用 |
SIPSecured |
已啟用 (必要) |
已停用 |
Secured |
已啟用 (必要) |
已啟用 (必要) |
將 Exchange UM 與 Communications Server 2007 R2 整合在一起時,您需要針對每一個語音設定檔選取最適當的撥號對應表安全性層級。在進行這項選擇時,您應該考量以下事項:
- Exchange UM 與 Office Communications Server 之間需要有 MTLS。因此,撥號對應表安全性層級不能設為 Unsecured。
- 將撥號對應表安全性設為 SIPSecured 時,會停用 SRTP。在此情況下,Office Communicator 2007 R2 用戶端加密層級必須設為拒絕或選擇性。
- 將撥號對應表安全性設為 Secured 時,會啟用 SRTP 而且 Exchange UM 也需要它。在此情況下,Office Communicator 2007 R2 用戶端加密層級必須設為選擇性或必要。
媒體閘道安全性
在中繼伺服器與 Communications Server 網路之間的往返流動的媒體會使用 SRTP 來加密。強烈建議那些依賴 IPsec 取得封包安全性的組織在部署 Enterprise Voice 時,最好在小型媒體連接埠範圍中建立例外。IPsec 所需的安全性交涉不會影響一般 UDP 或 TCP 連線的運作,但是可能會讓通話的建立速度降低到無法接受的程度。
由於媒體閘道會接收來自 PSTN 的來電,其可能存在潛在的安全性漏洞,以下是建議的安全防護動作:
- 在閘道與中繼伺服器之間的連結上啟用 TLS。這麼做可確保在閘道與內部使用者之間針對訊號進行端對端的加密。
- 將媒體閘道與內部網路實際隔離,其方式是將中繼伺服器部署在裝有兩張網路介面卡的電腦上:第一張卡接受來自內部網路的流量,而第二張卡則接受來自媒體閘道的流量。每一張卡都有設定個別的聆聽位址,好讓源自於 Communications Server 網路的受信任流量與來自於 PSTN 的未受信任流量之間有清楚的區隔。
中繼伺服器的內部邊緣應該設為可對應到唯一的靜態路由,此路由是由 IP 位址和連接埠編號所描述。預設的連接埠為 5061。
中繼伺服器的外部邊緣應該設為媒體閘道內部的下一個躍點 Proxy,它應該由 IP 位址和連接埠編號的唯一組合所識別。此 IP 位址不應該與內部邊緣的 IP 位址相同,但是預設的連接埠為 5060。